你好
我是你们的雨嘉叔

12-关于NFS中Exports配置文件格式与权限的分析(转载自网络)

一、 Exports配置文件格式
NFS服务的配置文件为 /etc/exports,这个文件是NFS的主要配置文件,不过系统并没有默认值,所以这个文件不一定会存在,可能要使用vi手动建立,然后在文件里面写入配置内容。

/etc/exports文件内容格式:
/data 192.168.80.0/24(rw)
/picture 192.168.80.0/24(ro) (ro)
<输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)]
a. 输出目录:
输出目录是指NFS系统中需要共享给客户机使用的目录;
b. 客户端:
客户端是指网络中可以访问这个NFS输出目录的计算机
客户端常用的指定方式
 指定ip地址的主机:192.168.0.200
 指定子网中的所有主机:192.168.0.0/24 192.168.0.0/255.255.255.0
 指定域名的主机:david.bsmart.cn
 指定域中的所有主机:
.bsmart.cn
 所有主机:*
c. 选项:
选项用来设置输出目录的访问权限、用户映射等。
NFS主要有3类选项:
访问权限选项
 设置输出目录只读:ro
 设置输出目录读写:rw
用户映射选项
 root_squash:将root用户及所属组都映射为匿名用户或用户组(默认设置);
 no_root_squash:与rootsquash取反;

 all_squash:将远程访问的所有普通用户及所属组都映射为匿名用户或用户组(nfsnobody),这是默认选项;
 no_all_squash:与all_squash取反(默认设置);

 anonuid=xxx:将远程访问的所有用户都映射为匿名用户,并指定该用户为本地用户(UID=xxx);
 anongid=xxx:将远程访问的所有用户组都映射为匿名用户组账户,并指定该匿名用户组账户为本地用户组账户(GID=xxx);
其它选项

 secure:限制客户端只能从小于1024的tcp/ip端口连接nfs服务器(默认设置);
 insecure:允许客户端从大于1024的tcp/ip端口连接服务器;
 sync:将数据同步写入内存缓冲区与磁盘中,效率低,但可以保证数据的一致性;
 async:将数据先保存在内存缓冲区中,必要时才写入磁盘;
 wdelay:检查是否有相关的写操作,如果有则将这些写操作一起执行,这样可以提高效率(默认设置);
 no_wdelay:若有写操作则立即执行,应与sync配合使用;
 subtree:若输出目录是一个子目录,则nfs服务器将检查其父目录的权限(默认设置);
 no_subtree:即使输出目录是一个子目录,nfs服务器也不检查其父目录的权限,这样可以提高效率;
二、 关于权限的分析
客户端连接时候,对普通用户的检查
 如果明确设定了普通用户被映射的身份,那么此时客户端用户的身份转换为指定用户;
 如果NFS server上面有同名用户,那么此时客户端登录账户的身份转换为NFS server上面的同名用户;
 如果没有明确指定,也没有同名用户,那么此时用户身份被映射成nfsnobody;

客户端连接的时候,对root的检查
 如果设置no_root_squash,那么此时root用户的身份被映射为NFS server上面的root;
 如果设置了all_squash、anonuid、anongid,此时root 身份被映射为指定用户;
 如果没有明确指定,此时root用户被映射为nfsnobody;
 如果同时指定no_root_squash与all_squash 用户将被映射为 nfsnobody,如果设置了anonuid、anongid将被映射到所指定的用户与组;

赞(0)
未经允许不得转载:嘉叔的博客 » 12-关于NFS中Exports配置文件格式与权限的分析(转载自网络)
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址